一些好用的香港dns服务器

这些IP在香港不错,但是中国大陆可能会绕道

香港城市电讯 city telecom
203.80.96.10
203.80.96.9

香港有线电视 HK Cable TV
61.10.0.130
61.10.1.130

open dns香港
208.67.222.222
208.67.220.220
208.67.222.220
208.67.220.222

香港
203.133.1.6
203.187.0.6

香港Pacific SuperNet
202.14.67.4
202.14.67.14

韩国
168.126.63.1
168.126.63.2

台湾中华电信
168.95.192.1
168.95.1.1

诺顿
198.153.194.1
198.153.192.1

谷歌
8.8.8.8
8.8.4.4

DNS 查询工具说明 - dig

dig 是 UNIX/BSD 系统都自带的 DNS 诊断工具,使用十分灵活,被很多 DNS 管理员用来做 DNS 诊断的工具。但在 Windows 系统中并没有提供 dig 程序,需要用户自行下载安装。

  • 用法
    dig [@server] [-b address] [-c class] [-f filename] [-k filename] [-m] [-p port#] [-q name] [-t type] [-x addr] [-y [hmac:]name:key] [-4] [-6] [name] [type] [class] [queryopt…]

    符号说明:”[]” 表明该选项是可选项。

    dig 是完全命令行的工具,使用者需要记得各个选项的用法。如果忘记可以使用 -h 选项查看所有的参数。以下就各个选项进行说明:

    • server
      指定 DNS Server 服务器。
    • name
      输入我们所要查询的域名,其意思与 [-q name] 相同。
    • type
      指定要查询的记录类型,其意思与 [-t type] 相同。type 类型有 a、any、mx、ns、soa、hinfo、axfr、txt 等,默认值为 a。
    • address
      指定要透过那一张网卡(IP 地址)进行查询,适用于多网卡环境下指定网卡。
    • -f filename
      指定 filename 文件做为 dig 批处理查询条件,该文件格式是一行一个查询,而在每行开头省略掉 “dig” 命令。
    • -k filename
      指定 filename 文件为 TSIG KEY,也可以使用 -y 直接使用 TSIG 的 key。
    • -p port
      指定 DNS Server 所使用的端口,可用於当服务器不是使用标准 DNS 端口的状况。
    • -x addr
      表示要进行反向查询。
    • -y [hmac:]name:key
      指定查询所用的 TSIG Key,基于安全考虑不建议在命令行使用 TSIG key。
    • queryopt…
      queryoptions,用以指定细步查询设置和显示项目,使用 “+” 来标识。

      1. +[no]tcp:是否使用 TCP 协议查询,一般情况下(不使用 AXFR 和 IXFR )都是用 UDP 协议。
      2. +[no]ignore :UDP 协议若没有响应,是否改用 TCP 协议重新查询,默认为 “是”。
      3. +[no]search:是否使用 resolv.conf 中定义的列表进行查询,默认为 “否”。
      4. +[no]defname:等同于 +[no]search,不提倡使用。
      5. +[no]cl :是否在查询结果中显示记录的类别。
      6. +[no]ttlid :是否在查询结果中显示 TTL 号。
      7. +[no]recurse:是否使用递归查询查询,默认为 “是”。但是当加入 +nssearch 或 +trace 选项时自动取消递归查询。
      8. +[no]nssearch:是否在查询结果中显示 SOA 记录和名称服务器。
      9. +[no]trace:是否在查询结果中显示查询中的跳转(根据根服务器提示查到合适的名称服务器)。
      10. +[no]cmd:是否在查询结果中显示 dig 版本和输入的命令。
      11. +[no]short:是否在查询结果中提供精简显示,默认为 “否”。
      12. +[no]comments:是否在查询结果中显示注释。
      13. +[no]stats:是否在查询结果中显示统计信息,默认为 “是”。
      14. +[no]question:是否在查询结果中显示查询内容。
      15. +[no]answer:是否在查询结果中显示应答段。
      16. +[no]authority:是否在查询结果中显示权威服务器信息。
      17. +[no]additional:是否在查询结果中显示附加段的内容。
      18. +[no]all:设置/取消所有显示标记。
      19. +time=T:设置查询超时时间,默认为 5 秒。
      20. +tries=T:设置查询重试次数,默认是 3,如果小于 1 则设置为1。
      21. +retry=T:设置 UDP 查询重试次数,默认为 2,不包括初次查询。
      22. +bufsize=B :设置查询是的高速缓冲区大小(0~65535)。
      23. +[no]multiline:是否在查询结果中显示一条记录为多行,默认为单行。
      24. +[no]fail:遇到服务器失败的时候是否查询下一个服务器。默认为 “是”。
      25. +[no]besteffort:是否显示不完整的应答信息。默认为 “是”。
      26. +trusted-key=####:指定包含有认证码的文件。如果没有指定,dig 会在当前目录中寻找 trusted-key.key,需要编译时使用 -DDIG_SIGCHASE 选项。
  • 实例介绍
    • 查询A记录:
      D:\greensoft\dig>dig @202.96.209.5 www.docutek.com.cn a
      ; <<>> DiG 9.3.2 <<>> @202.96.209.5 www.docutek.com.cn a
      ; (1 server found)
      ;; global options: printcmd
      ;; Got answer:
      ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 456
      ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

      ;; QUESTION SECTION:
      ;www.docutek.com.cn. IN A

      ;; ANSWER SECTION:
      www.docutek.com.cn. 259200 IN A 202.132.10.161

      ;; Query time: 124 msec
      ;; SERVER: 202.96.209.5#53(202.96.209.5)
      ;; WHEN: Wed Jan 07 19:30:56 2009
      ;; MSG SIZE rcvd: 52

      dig 的输出信息很详细,以下简单做个说明:

      1. 第一行:显示当前 dig 的版本和查询内容。
      2. 第三行:全局设置选项为直接在窗口显示结果。
      3. 第四行到第六行:显示查询结果的信息。
      4. QUESTION SECTION(查询段)
        显示查询条件,目前我们要查询的是 www.docutek.com.cn 的 A 记录。
      5. ANSWER SECTION(回应段)
        显示从服务器上面得到的回答 202.132.10.161。
      6. 最后面是其它信息,如查询花费 140 微秒、查询服务器为 202.96.209.5、何时进行查询时间、回应数据包大小。
  • 查询反向记录:
    D:\greensoft\dig>dig @192.168.8.246 -x 202.132.10.161 +short

    docutek.com.tw.

  • 查询 NS 记录:
    D:\greensoft\dig>dig @192.168.8.246 docutek.asia ns +short
    ns.docutek.asia.
    ns.docutek.com.cn.
    ns.docutek.com.tw.
  • 查询 MX 记录:
    D:\greensoft\dig>dig @192.168.8.246 docutek.asia mx +short
    10 mail.docutek.asia.
    20 smtp.docutek.com.cn.
  • 查看区域传送:
    D:\greensoft\dig>dig @192.168.8.246 docutek.local axfr;<<>> DiG 9.5.1 <<>> docutek.local axfr
    ;;global options: printcmd
    docutek.local. 28800 IN SOA ib42.docutek.asia. alvin.docutek.asia. 19 10800 3600 2592000 900
    docutek.local. 28800 IN NS ib42.docutek.asia.
    database.docutek.local. 28800 IN CNAME db.docutek.local.
    db.docutek.local. 28800 IN A 192.168.1.247
    db.docutek.local. 28800 IN A 192.168.1.248
    f.docutek.local. 28800 IN CNAME file.docutek.local.
    file.docutek.local. 28800 IN A 192.168.1.246
    finance.docutek.local. 28800 IN A 192.168.1.21
    financem.docutek.local. 28800 IN A 192.168.1.232
    manager.docutek.local. 28800 IN A 192.168.1.239
    marketm.docutek.local. 28800 IN A 192.168.1.231
    orcale.docutek.local. 28800 IN CNAME db.docutek.local.
    www.docutek.local. 28800 IN A 192.168.1.249
    docutek.local. 28800 IN SOA ib42.docutek.asia. alvin.docutek.asia. 19 10800 3600 2592000 900
    ;;Query time: 15 msec
    ;;SERVER: 192.168.8.246#53(192.168.8.246)
    ;;WHEN: Wed Jan 07 16:10:25 2009
    ;;XFR size: 15 records (messages 1, bytes 412)

服务器Iptables常规设置

早上起来洗完衣服,看到我的php版本不是最新的就打算重新编译一个。就顺便打开web的日志看了看。。。看了就呵呵了,居然有人在尝试找漏洞。再去看secure日志,还有暴力破解

CentOS 7 默认防火墙是 firewall还不太会用,只会用以前的用过的iptables

配置原则:限定INPUT链与FORWARD,不限制OUTPUT

把ssh端口及web的端口设置为允许通过, 不然你将链默认设置为DROP的时候,你的ssh远程连接就会断掉了

设置三条常用链的默认规则:input drop,output accept,forward drop

允许icmp也就是允许ping

允许回环地址,如果不允许回环通过,会导致本机的一些程序通信问题,比如:bind

centos 7 /etc/init.d/iptables 这个目录已经没有了,保存:

简单配置如下:

 

 

CentOS 7 安装ipsec 和 xl2tpd

Github:CentOS 7 一键安装 l2tp-Ipsec-vpn

本站下载: centos7一键安装l2tp-ipsec脚本

注意:

另外在脚本 300行处,若系统使用firewall就不用管,若是使用的iptables,就把iptables段取消注释,并注释掉fireall那四行

 

CentOS 安装 IPSec

最新文件下载

安装

修改/etc/racoon/racoon.conf 配置:

修改 /etc/racoon/psk.txt

( 可选) 修改 /etc/racoon/motd

填写任意内容,vpn连接上后会弹出这文本的内容

添加用户,并设置密码:

 

设置iptables

修改转发

使修改生效

启动

以上是网上搜得到的,以下是网上搜不到的

安装完成之后,除了上面的启动方式还可以使用service racoon start|restart|stop 来管理

但是…这样管理会有一个Bug存在

使用service来管理后,在登录的时候总是提示:用户名验证失败

查看系统日志产生这样一条记录:ERROR: notification INITIAL-CONTACT received in aggressive exchange.

Google很久,除了一些人使用 源码修改,并重新编译的方式以外,没有找到其它的解决办法

所以,最终还是不能够使用 service 来管理 racoon

Stunnel + Squid + pac文件快速简单自动过滤翻墙

之前写过一篇 Stunnel + Squid的翻墙文章,但感觉太复杂了,效率也一般

这篇是昨天晚上配置出来的,效果不错。

本机装个stunnel用来加密设为开机启动,把Squid配置成SSL的形式,这样就可以翻过GFW

Squid 3.x配置文件:

过程说得很草,后面直接下载文件

默认配置都不用管的,在 http_access allow localhost 后面加上:

如果你想用户名密码进行校验:

就在 http_access allow localhost 后面加上如下配置:

值得注意的是,如果是验证用户的话,会在session会话过期的时候弹出授权框,也就是需要输入passwd里的帐号,密码

需要squid的 https,所以我们需要修改如下配置

 

修改缓存配置:

添加下面这几行,隐藏代理,设置dns解析服务器,和当出错时,显示的hostname

完整配置下:点我下载 squid 3.x代理配置文件

 

中间有几个模糊的地方:

1./usr/local/server/squid/users/passwd

这个文件是用htpasswd生成的,这个工具在包:httpd-tools.x86_64,centos可以直接yum安装

这样就生成一个passwd 的文件,并有用户fourfire,和你自己输入的密码,htpasswd不复杂,百度一下一大把

 

2./usr/lib64/squid/ncsa_auth

这个文件就在你服务器上,是已经存在的,找到它就可以了

3.生成 crt

这个步骤跟:生成SSL证书步骤并配置到Nginx 这遍文章是一样的,把crt 和key文件配置到 https_port 后面就行

 

在本机安装 stunnel

 

不管是Windows还是其它的Mac os,Linux都差不多了,安装完Stunnel有个配置文件:stunnel.conf

找到 [https]段,若没有就添加:

x.x.x.x :就是你服务器的IP,8081就是你Squid的 https_port端口

accept :本机 LINSTEN 的端口

 

配置pac文件:

按照标准格式直接写出来就好, pac文件里是Javascript语法,有特殊需求可以用编程的方法来达到目的

很简单,直接将域名放在判断的if里,就可以实现走PROXY,如果不想走代理的就使用DIRECTF直连

网上有很多人推荐使用file://C:xxx.pac这样的方式,我不推荐这样的方式。。。建议找个web服务器,放在服务器上

通常pac文件命名为:proxy.pac

IE里配置PAC

IE配置pac文件如果多次修改pac文件,又想立即生效,就在url后面加参数,改一次变一次参数

 

centos 7 一键安装pptp

centos7在管理软件的启动上有了新的变化,不再使用service,改成了新的systemctl

在装好的centos7的yum源里没有找 到pptp,添加源epel:

安装 yum 插件,装了此插件后听说有加快下载速度,本人没啥感觉毕竟服务器都不太慢:

删除旧的配置 :

安装依赖软件:

修改默认配置:

生成一个初始化帐号的密码:

初始化一个VPN帐号:

初始化iptables:

设置转发规则:

保存规则:

启动 iptables 与 pptpd:

脚本下载:

centos7一键安装pptp脚本